基于RISC-V的飞地可信计算开放解决方案:Keystone Encalve

HardenedLinux 写道 “继MIT的Sanctum之后,第二个基于RISC-V硬件架构的飞地可信计算开放解决方案Keystone Enclave终于发布了第一个版本,这个版本主要包含用于信任链条原型测试的bootrom,用于测试的busybear-linux,RISCV的GNU工具链,包含Keystone驱动的linux内核,基于riscv-pk实现的运行于机器模式的安全监控器开发包和特权模式的运行时以及demo, 目前Keystone在QEMUFireSim以及HiFive Unleashed平台上都可以完成基础测试。RISC-V处理器要完整应用Keystone需要做少量修改实现信任根,另外硬件生产过程中所面临的硬件熵相关的PUF方案以及key管理的挑战Sanctum已经有所考虑,Keystone社区未来会持续改进。Sanctum/Keystone作为开放的飞地可信计算方案是很好的开端,中长期可以在一些场景中替代连GCP都未启用的不可审计的Intel SGX,虽然L1TF的曝光让Intel SGX神话的破灭,但开放的飞地方案并不代表安全,开放方案仅仅是带来了可审计性,而RISC-V最大的优势在于可审计性,这也是HardenedLinux社区一直都在推动基于coreboot的RISC-V自由固件的原因。”

Leave a Comment

电子邮件地址不会被公开。 必填项已用*标注